873030318?
明码比较?楼主好人
{:5_118:}你是第一个发图的=。= 恭喜你成功了嘿嘿补丁可以写出来么。 童真丶 发表于 2015-5-19 00:00
你是第一个发图的=。= 恭喜你成功了嘿嘿补丁可以写出来么。
你信不信对于这个CM,我写补丁只是时间的问题的罢了,写个HOOK干掉锁鼠标,剩下的你都会了
{:6_209:} 叶落 发表于 2015-5-19 14:00
你信不信对于这个CM,我写补丁只是时间的问题的罢了,写个HOOK干掉锁鼠标,剩下的你都会了
{:5_117:}你是提取出来的么/.不提取貌似不太可能PJ. 然后你提取想问问你怎么提取的 童真丶 发表于 2015-5-19 14:46
你是提取出来的么/.不提取貌似不太可能PJ. 然后你提取想问问你怎么提取的
一定要提取的吗,为什么不太可能PJ,你又没加壳还明码验证{:7_256:} 叶落 发表于 2015-5-19 18:13
一定要提取的吗,为什么不太可能PJ,你又没加壳还明码验证
= =呵呵.确实我没加壳.但是我我是内存运行的,然后还有一个伪装的程序.还有VP你不提取怎么逆向呀. 本帖最后由 Xjun 于 2015-5-19 22:26 编辑
//看着大牛玩的这么嗨,小菜也来凑凑热闹
//顺带吐槽一下程序乱七八糟的
Attach dump file://提取的文件
Attach Patch file: //原版文件补丁
本帖最后由 童真丶 于 2015-5-20 00:35 编辑
Xjun 发表于 2015-5-19 22:21
//看着大牛玩的这么嗨,小菜也来凑凑热闹
//顺带吐槽一下程序乱七八糟的
{:5_118:} xjun大大直接虐死了=。= 可以不可以出一个教材 关于PE 提取的呀。这些教材好少额 本帖最后由 Xjun 于 2015-5-20 13:18 编辑
童真丶 发表于 2015-5-20 00:13
xjun大大直接虐死了=。= 可以不可以出一个教材 关于PE 提取的呀。这些教材好少额
//PE提取这些东西都是很简单的,没有什么好讲的,在内存中有初始化过的PE和未初始化过的PE,未初始化的直接dump出来就可以用了,已经初始化的(像你这个)大多数都需要修复一些零散的数据,你也可以在他未初始化之前来提取。
//那么如何来提取这些PE文件,一般情况下在内存中搜MZ ,然后判断是否是PE文件,PE头部特征就不用多讲了吧,如果判断是有效PE文件,用XT dump ,PELoad dump,或者WinHex dump下来都是没问题的。
//昨天因为时间原因Patch补丁只能在WIN7正常,XP下加载上保护驱动Hook了很多SSDT表函数,今天补个patch2(里面带了源码),这个补丁可以让你知道,Ring3下如何给被驱动保护的进程来打补丁。
Attach patch2 file:
Xjun 发表于 2015-5-20 11:35
//PE提取这些东西都是很简单的,没有什么好讲的,在内存中有初始化过的PE和未初始化过的PE,未初始化的直 ...
感谢指点.一语惊醒梦中人呀. 我明白了.
页:
1
[2]